Proteção de dados – Pesquisadores de segurança descobriram uma enorme quantidade, de mais de 808 milhões de registros, incluindo endereços de e-mail, números de telefone e outras informações pessoais (PII) deixadas expostas em uma instância do MongoDB.
Bob Diachenko afirmou ter encontrado a instância MongoDB de 150GB não protegida por senha no final de fevereiro.
Um “mailEmailDatabase” continha três pastas: com mais de 798 milhões de registros de e-mails em um; cerca de 4,2 milhões de registros de e-mails e telefone em outro; e 6,2 milhões de registros de “leads de negócios” em um terceiro, incluindo sexo, data de nascimento, detalhes de hipoteca, informações corporativas, contas de mídia social e muito mais.
“Como parte do processo de verificação, fiz uma verificação cruzada de uma seleção aleatória de registros com o banco de dados HaveIBeenPwned do Troy Hunt. Com base nos resultados, cheguei à conclusão de que esta não é apenas mais uma coleção de fontes previamente vazadas, mas um conjunto de dados completamente exclusivo”, explicou Diachenko em um post no blog.
“Embora nem todos os registros contivessem as informações detalhadas do perfil do proprietário do e-mail, uma grande quantidade de registros era muito detalhada. Ainda estamos falando de milhões de registros.”
Inicialmente, o pesquisador acreditava que o texto comum pertencia a um spammer profissional, mas logo descobriu que o proprietário do banco de dados era realmente uma empresa de “validação de e-mail”, Verifications.io – que tenta listas de e-mail em nome de seus clientes para ver se eles são ainda trabalhando contas.
“Os bancos de dados incluíam contas de e-mail que eles usam para enviar e-mails, bem como centenas de servidores SMTP, e-mail, armadilhas de spam, palavras-chave para evitar, endereços IP para a lista negra e muito mais. É por isso que pensei inicialmente que eles estavam potencialmente engajados em atividades relacionadas a spam”, explicou ele.
“Acontece que, tecnicamente, eles estão enviando e-mails indesejados e não solicitados. Este é o pior tipo de spam, porque eles enviam milhões de e-mails ‘hello’ completamente sem valor que ninguém consegue entender.”
Na verdade, o serviço poderia ser usado até mesmo por criminosos cibernéticos como uma forma rápida, fácil e silenciosa de validar suas próprias listas de e-mail para melhorar as taxas de sucesso de campanhas de phishing / força bruta, conforme ele sugeriu.
O Verifications.io anotou a lista assim que foi notificado por Diachenko e pelo co-pesquisador Vinny Troya, mas afirmou em um e-mail para ele que era público e não dados do cliente. Todo o site está desativado.
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.
Leia também:
- Proteção de Dados – 6 ferramentas de gerenciamento da segurança da informação em conformidade com o GDPR.
- Proteção de Dados – Foi descoberta falha crítica no WordPress que permaneceu sem correção por 6 anos.
- Proteção de Dados – Organizações em conformidade com GDPR estão colhendo os benefícios, conclui estudo.
- Proteção de Dados – Análise da Segurança da Informação em 2018: O que aconteceu e o que o futuro nos reserva (Parte 2).
- Proteção de Dados – Análise da Segurança da Informação em 2018: O que aconteceu e o que o futuro nos reserva (Parte 1).